L'intelligence sulle minacce è il processo di identificazione e analisi delle minacce informatiche. Il termine "intelligence sulle minacce" si riferisce ai dati raccolti sulle potenziali minacce e al processo di aggregazione, interpretazione e analisi di tali dati per comprendere meglio le minacce. L'intelligence sulle minacce comporta l'ordinamento dei dati, l'esame in modo sensibile al contesto per identificare i problemi e l'implementazione di soluzioni specifiche ai problemi rilevati. Grazie alla tecnologia digitale, il mondo di oggi è più interconnesso che mai. Tuttavia, questa maggiore connettività comporta anche un aumento del rischio di attacchi informatici, come violazioni della sicurezza, furto di dati e malware. L'intelligence sulle minacce è un aspetto critico della sicurezza informatica.
In questo caso, ad esempio, è importante mantenere un'alta soglia di preoccupazione per i nuovi malware, gli attacchi zero-day contro i software e le cosiddette minacce persistenti avanzate (APT), che possono nascondersi anche sui server aziendali. , una grande quantità di dati è trapelata silenziosamente. L’attività di intelligence risulta inoltre fondamentale nel contesto dell’incident response. La threat intelligence consente infatti ai SOC (Security Operation Center) e agli IRT (Incident Response Team) di cercare di prevenire o investigare sugli incidenti informatici una volta che si manifestano, anche ai fini di predisporre le notifiche e i report che alcune tipologie di aziende ormai sono soggette ad effettuare per legge, a seguito del recepimento della Normativa NIS comunitaria.
L'intelligence sulle minacce è una parte essenziale di qualsiasi ecosistema di sicurezza informatica. Un programma di intelligence sulle minacce informatiche, noto anche come CTI, può:
• Prevenzione della perdita di dati: con un programma CTI ben progettato, le organizzazioni possono identificare le minacce informatiche e impedire che le violazioni dei dati rivelino informazioni sensibili.
• Fornisce indicazioni sulle misure di sicurezza: attraverso l'identificazione e l'analisi delle minacce, CTI identifica i modelli utilizzati dagli hacker e aiuta le organizzazioni a introdurre misure di sicurezza che possono prevenire attacchi futuri.
• Informare gli altri: gli hacker diventano ogni giorno più intelligenti. Per affrontare queste preoccupazioni, gli esperti di sicurezza informatica condividono le strategie apprese all'interno della comunità IT per costruire una base di conoscenza collettiva per combattere il crimine informatico.
CTI è un componente chiave di qualsiasi programma di sicurezza delle informazioni ed è un requisito del NIST Cybersecurity Framework (ID.RA-2) e ISO27001:2022 (5.7). La disciplina si articola in tre aree di interesse:
• Threat Intelligence Operativa – Questo tipo di informazioni fornisce ai professionisti della sicurezza e della privacy informazioni sulle motivazioni e le capacità degli attori delle minacce informatiche, inclusi i loro strumenti, tecniche e comportamenti.
• Threat Intelligence tattica: Queste informazioni fruibili forniscono dettagli di intelligence tecnica come obiettivi noti di esposizione, vulnerabilità o indicatori di compromissione (IOC) sulla tua rete. Il CTI tattico può includere la conoscenza di vulnerabilità sfruttate attivamente o breadcrumb, come indirizzi IP noti, file, eseguibili o hash, che consentono agli ingegneri di identificare le prove della compromissione di un attore di minacce criminali.
• Threat Intelligence strategica – Per una strategia più performante, questa tipologia di dati fornisce la governance e l'identificazione del rischio per guidare la tua attenzione e strategia sulla sicurezza informatica. Le preoccupazioni strategiche possono includere obiettivi di sicurezza informatica in un potenziale nuovo mercato o posizione fisica, l'acquisto di nuova tecnologia o una partnership SaaS.
L'analisi del malware comprende l'uso di strumenti e programmi per comprendere il comportamento e lo scopo dei file sospetti. Questo processo è progettato per rilevare e mitigare potenziali minacce. Questo processo pratico aiuta gli analisti a comprendere la funzionalità, lo scopo e il potenziale impatto del malware. Per fare ciò, i team di sicurezza utilizzano strumenti di analisi del malware. In genere valutano e valutano specifici campioni di malware in un ambiente chiuso chiamato sandbox.
Gli addetti alla risposta agli incidenti e gli analisti della sicurezza utilizzano l'analisi del malware per:
• Identificare la fonte di un attacco
• Classificare gli incidenti in base al livello di gravità
• Migliorare l'efficienza del processo di risposta agli incidenti
• Valutare il potenziale danno da una minaccia alla sicurezza
• Arricchisci i processi di caccia alle minacce
L'analisi del malware è uno dei processi chiave nella sicurezza informatica. Agli analisti della sicurezza viene chiesto regolarmente di analizzare un file sospetto per verificare se è legittimo o dannoso. È importante per i soccorritori perché li aiuta a ridurre i falsi positivi e a capire quanto sia esteso un incidente di malware.
L'analisi del malware è utile sia per l'attività pre-incidente che per quella post-incidente. Durante un incidente, l'analisi del malware fornisce informazioni utilizzabili identificando e classificando il malware. Documentando e identificando il malware tramite l'analisi del malware, ottieni una grande quantità di informazioni che aiutano a prevenire incidenti futuri.
In seguito ad un attacco informatico, le informazioni ottenute dall'analisi del malware fanno parte delle lezioni apprese. Gli analisti apprendono schemi, metodi di attacco e comportamento dal malware appena analizzato che li aiuta a ideare metodi di prevenzione per altri incidenti simili.
Esistono tre tipi di analisi del malware: statica, dinamica e la combinazione di entrambe.
L'analisi statica controlla il codice senza eseguire il codice. Gli analisti utilizzano il disassemblaggio per eseguire il reverse engineering del malware nell'analisi statica.
Alcune altre tecniche utilizzate dall'analisi statica implicano la scansione antivirus, l'impronta digitale e il dumping della memoria. L'utilizzo dell'analisi statica può avere limitazioni nei confronti di tipi di malware sconosciuti.
D'altra parte, l'analisi dinamica del malware controlla il file durante l'esecuzione. Il malware viene eseguito all'interno di un ambiente controllato chiamato sandbox per impedirne la diffusione. Quindi, il malware può essere sottoposto a reverse engineering per comprenderne il comportamento e lo scopo.
Alcune tecniche utilizzate nell'analisi dinamica del malware includono chiamate API, scritture in memoria e modifiche al registro. Poiché è in genere basato sul comportamento, può aiutare a rilevare la dannosità di file sconosciuti.
Copyright © 2023 SOCDatiSicuri | Sito gestito da EXE Srl P IVA 01114750571
